La empresa de seguridad informática Check Point está trabajando con Zoom, un proveedor de soluciones de videoconferencia, para reducir el riesgo de la función de URLs de vanidad personalizables. Los hackers pueden manipular los enlaces de identificación de las reuniones y utilizarlos con fines de phishing.
Los chats y las videoconferencias son cada vez más populares debido a la crisis de Corona. Pero los agujeros de seguridad de las herramientas permiten a los hackers acceder a datos sensibles. La empresa de software estadounidense Zoom no sólo registró un aumento de usuarios con su aplicación de videoconferencia, sino que también fue criticada por sus deficiencias en materia de protección de datos y seguridad. La empresa reaccionó a esto con una actualización. Ahora el proveedor vuelve a trabajar con la empresa de seguridad Check Point para solucionar conjuntamente el problema de una función de URLs de vanidad personalizables.
Una vulnerabilidad en la misma puede permitir a los hackers enviar invitaciones de Zoom de apariencia legítima a reuniones de trabajo con el objetivo de infiltrar malware y robar secretamente datos o información de acceso de este usuario. Ya en enero, las dos empresas colaboraron para solucionar otra posible vulnerabilidad que había permitido a los hackers asistir a una reunión sin invitación.
Posibles escenarios de ataque
El nuevo problema de seguridad de las vanity URL fue identificado por los investigadores tras la colaboración a principios de este año. Los hackers pueden manipular la URL de vanidad de dos maneras. Una de ellas es dirigirse a ella a través de enlaces directos. Cuando se configura una reunión, la URL de la invitación se cambia para incluir un subdominio del hacker. Sin una formación especial, a los usuarios les resulta difícil desenmascarar esas invitaciones como falsas.
La otra posibilidad es la de las interfaces web de zoom dirigidas, ya que algunas empresas tienen sus propias interfaces de conferencia. Los hackers podrían intentar redirigir a los usuarios para que introduzcan un ID de reunión en la falsa URL de vanidad en lugar de la verdadera interfaz web de Zoom. Sin formación previa, la URL maliciosa no puede ser identificada por el usuario.
Usando cualquiera de los dos métodos, los hackers podrían intentar hacerse pasar por empleados de la organización objetivo a través de la plataforma de Zoom para abrir un vector de robo de credenciales o información sensible.
Check Point y Zoom estaban ahora trabajando juntos para resolver estos problemas de seguridad. Según el grupo estadounidense, ya ha solucionado las vulnerabilidades y ha tomado precauciones de seguridad adicionales.